La blockchain ed il problema del trattamento dei dati personali

a cura di:
Dane Marciano, CEO di Affidaty S.p.A
Giovanni Capaccioli, R&D di Affidaty S.p.A

Sicurezza:

Precedentemente abbiamo già trattato il tema “efficienza”, sottolineando come “sia sempre stato ritenuto che, fin dalla sua nascita, esso (Bitcoin e Blockchain) prevedesse gli scenari migliori e maggiormente eterogenei da quel presente al futuro.”.

Bene, uno degli scenari difficilmente prevedibile è sicuramente il lato sicurezza. Negli ultimi anni, infatti, si sono sviluppati tanto gli ecosistemi tecnologici basati e sviluppati sul web, quanto, di conseguenza, i relativi problemi in ambito di sicurezza e trattamento dei dati, non solo delle aziende o dei professionisti, ma di tutti gli utenti in generale.

Ecco perché negli ultimi mesi ed anni sono stati strettamente ed approfonditamente studiati possibili soluzioni che hanno prodotto un nuovo regolamento in ambito di trattamento dei dati.

Cos’è importante sapere: è chiaro che qualsiasi strumento, se usato in modo improprio, possa causare danni, più o meno gravi. Spesso, quindi, non è tanto lo strumento ad essere la causa del danno, bensì il suo uso, anche per gli strumenti più semplici: si pensi ad un’auto usata per strada oppure ad una zappa usata in un campo.

Ecco perché questo concetto vale anche nel campo del digitale: la blockchain di per sé è lo strumento che, se usato in modo inappropriato, può portare ad incorrere in situazioni contrarie alle normative nazionali e/o sovranazionali, scritte ed approvate a tutela del cittadino.

Ma quali sono gli errori più comuni che possono portare la blockchain ad essere applicata in modo improprio, per esempio da un’azienda?

Il caso lampante è il trattamento dei dati personali. 

Cosa accade qualora si intenda utilizzare la blockchain come storage di tutti i dati degli utenti, anziché, per esempio, creare una linea privata dove storare i dati sensibili accoppiandola ad una blockchain da usare in formato “notarile”?

1. i dati archiviati in una blockchain sono a prova di manomissione: questo si traduce in un’impossibilità pura (derivante da codifica della blockchain) di cancellazione dei dati, una volta che essi verranno immessi nella catena distribuita;
2. le Blockchain sono distribuite, quindi nemmeno il controllo sui dati può essere centralizzato ed è demandato a tutti i partecipanti alla blockchain (al più ai miners, che comunque non possono essere considerati dei Data Protection Officer come richiesto da GDPR);
3. gli Smart Contract sono creati per essere automatizzati sotto il profilo decisionale: questo può aprire quindi criticità comprensibilmente non banali sul fronte, per esempio, di casi di impugnazioni e contestazioni.

In linea generale, ciò che va a “scontrarsi” con il GDPR, in questo caso, sono due dei principi su cui si sono costruiti fino ad oggi il valore ed il potere Blockchain:

• i dati inseriti nelle blockchain sono pubblici ed accessibili da chiunque partecipi alla catena;
• i dati presenti nelle blockchain sono conservati illimitatamente (a garanzia e tutela dell’intero registro distribuito).

Se si volesse riassumere con poche parole ciò che caratterizza il GDPR potrebbero essere usate tre parole chiave: centralizzazione, limitazione e rimovibilità (cancellazione) che vanno in netto contrasto con le parole chiave che, al contrario, caratterizzano la blockchain, ossia decentralizzazione, distribuzione e immutabilità.

Come abbiamo spiegato nei paragrafi precedenti, il GDPR conferisce ai residenti dell’UE diritti esecutivi in relazione al trattamento dei dati personali, tra cui:

• il diritto alla cancellazione dei dati personali quando i dati personali non sono più necessari per lo scopo per il quale sono stati raccolti, quando la persona ritira il consenso o quando il trattamento continuato dei dati è illegale;
• il diritto di richiedere la correzione di dati errati;
• il diritto di limitare l’elaborazione dei dati quando viene contestata l’accuratezza dei dati, quando l’elaborazione non è più necessaria.

Questi diritti sono comprensibili nel contesto di un database centralizzato controllato da un singolo controller di dati con un insieme finito di processori. Ma quando si collegano alla tecnologia di ledger distribuito, quali potranno essere le possibili soluzioni che permetteranno l’uso della blockchain anche in ambito di GDPR?

In Affidaty abbiamo creato il wallet synkrony ed il suo alias con l’obiettivo di costruire una possibile soluzione in linea con le normative vigenti e che non comprometta l’efficacia e la stabilità della tecnologia blockchain.